一,基本拓扑
二,配置过程
- 创建区域并把接口添加到对用的区域如下:
- #
- security-zone name cwb
- import interface GigabitEthernet1/0/1
- #
- security-zone name scb
- import interface GigabitEthernet1/0/2
- #
- security-zone name server
- import interface GigabitEthernet1/0/3
- #
- security-zone name zxb
- import interface GigabitEthernet1/0/0
- #
- 允许总裁办任意时间访问财务服务器(server)和其它部门电脑
#
acl advanced 3001
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 10.0.0.1 0
#
包过滤调用ACL 3001
#
zone-pair security source zxb destination server
packet-filter 3001
#
其它部门电脑
#
acl advanced 3004
rule 0 permit ip source 192.168.10.0 0.0.0.255
#
包过滤调用ACL 3004
#
zone-pair security source zxb destination Any
packet-filter 3004
#
- 财务部在工作时间访问财务数据库服务器
#
time-range work 08:00 to 18:00 working-day #设置时间组
#
- 创建ACL 3002
#
acl advanced 3002
rule 0 permit ip source 192.168.20.0 0.0.0.255 destination 10.0.0.1 0 time-range work
#
包过滤调用ACL 3002
#
zone-pair security source cwb destination server
packet-filter 3002
#
- 禁止市场部在工作时间访问财务数据库服务器
创建acl advanced 3003
#
acl advanced 3003
rule 0 deny ip source 192.168.30.0 0.0.0.255 destination 10.0.0.1 0
#
包过滤调用ACL 3003
#
zone-pair security source scb destination server
packet-filter 3003
#三,验证测试
- 总裁办ping财务服务器通信正常
- 总裁办ping其它部门通信正常
- 市场部无法ping通财务服务器
- 财务部可以ping通财务服务器
安全策略使得OSPF邻接关系建立典型配置:https://www.hao0564.com/5362.html